Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.9
»
Тиражирование сертификатов групповыми политиками
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2013(UTC) Сообщений: 11
Сказал(а) «Спасибо»: 3 раз
|
Добрый день. Есть такая проблема: В организации большое число пользователей, которые будет использовать одну (или много) эцп. Необходимо как-то реализовать копирование эцп в реестр и связь открытого ключа с закрытым без отвлечения пользователей от работы. Может есть какая-нибудь возможность реализовать это групповыми политиками или скриптами? Была идея копировать ветку реестра через политики, но в пути есть sid пользователя (HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\"Sid пользователя"\Keys\"имя ключа в реестре"). Так же пробовал через экспорт в pfx и установку через certutil, но что-то не пойму как скопировать закрытый сертификат в реестр и связать его с открытым. Может кто-нибудь реализовал такое... Или натолкните на мысль с помощью чего это возможно реализовать и возможно ли вообще...
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,098
Сказал(а) «Спасибо»: 7 раз Поблагодарили: 151 раз в 136 постах
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2013(UTC) Сообщений: 11
Сказал(а) «Спасибо»: 3 раз
|
т.е. у каждого пользователя нужно узнать sid, узнать имя компа, в нужном reg файле внести изменения, после этого только добавить запись в реестр. Даже если все делать скриптами получается какая-то жесть. Быстрее руками будет (если я все правильно понял)... Более универсальных способов нет? Может как-то можно прокатать политиками pfx файлик с закрытым ключом и привязать к нему личный сертификат?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,318 Сказал «Спасибо»: 549 раз Поблагодарили: 2207 раз в 1722 постах
|
Автор: web115 т.е. у каждого пользователя нужно узнать sid, узнать имя компа, в нужном reg файле внести изменения, после этого только добавить запись в реестр. Даже если все делать скриптами получается какая-то жесть. Быстрее руками будет (если я все правильно понял)... Более универсальных способов нет? Может как-то можно прокатать политиками pfx файлик с закрытым ключом и привязать к нему личный сертификат? Цитата: certutil –f –p [certificate_password] –importpfx C:\[certificate_path_and_name].pfx
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,318 Сказал «Спасибо»: 549 раз Поблагодарили: 2207 раз в 1722 постах
|
Хотя нет, не вышло на моем ПК, кроме появления диалога на ввод пароля к новому контейнеру: Цитата: CertUtil: -importPFX команда НЕ ВЫПОЛНЕНА: 0x8009000b (-2146893813) CertUtil: Ключ не может быть использован в указанном состоянии.
Установка вручную - без ошибок. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2013(UTC) Сообщений: 11
Сказал(а) «Спасибо»: 3 раз
|
то же самое + требует прав админа
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,318 Сказал «Спасибо»: 549 раз Поблагодарили: 2207 раз в 1722 постах
|
cryptio.exe -e -c \\.\registry\SrcTempContainer -p 123456 -f C:\rtests\data\cont.cpa -s password cryptio.exe -i -c \\.\registry\DestTempContainer -p 654321 -f C:\rtests\data\cont.cpa -s password cryptio.zip (51kb) загружен 129 раз(а). |
|
2 пользователей поблагодарили Андрей * за этот пост.
|
web115 оставлено 29.01.2016(UTC), Mike N оставлено 28.01.2019(UTC)
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2013(UTC) Сообщений: 11
Сказал(а) «Спасибо»: 3 раз
|
С этим разобрался, спасибо. Только вот как теперь связать контейнер закрытого ключа с личным сертификатом? Отредактировано пользователем 29 января 2016 г. 15:30:25(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,098
Сказал(а) «Спасибо»: 7 раз Поблагодарили: 151 раз в 136 постах
|
Автор: web115 Даже если все делать скриптами получается какая-то жесть. Быстрее руками будет (если я все правильно понял)... Руками придётся или отрывать задницу от стула или цепляться дистанционно. И в том и в другом случае придётся "выгонять" пользователя. А так - да: не надо автоматизировать разовые/редкие задачи. Или потратите больше времени, чем сделать руками или сломается, а все уже давно и прочно забыли что и как.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2013(UTC) Сообщений: 11
Сказал(а) «Спасибо»: 3 раз
|
Проблема в том, что эти задачи не разовые и не редкие.
|
|
|
|
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.9
»
Тиражирование сертификатов групповыми политиками
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close